Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS / ITMS: 311070CMF9

Technická univerzita v Košiciach  

Letná 1/9

042 00 Košice-Sever

SR/Banskobystrický kraj

SR/Bratislavský kraj

SR/Košický kraj

SR/Nitriansky kraj

SR/Prešovský kraj

SR/Trenčiansky kraj

SR/Trnavský kraj

SR/Žilinský kraj

311070091 – 7.9 Zvýšenie kybernetickej bezpečnosti v spoločnosti

078 – Služby a aplikácie elektronickej verejnej správy

Predmet projektu:

Technickej univerzite v Košiciach (TUKE) (ako oprávnenému žiadateľovi zaregistrovanému v databáze štatistického úradu) na základe auditu kybernetickej bezpečnosti podľa zákona 69/2018 Z.z vyplynula potreba realizovať projekt  na zvýšenie úrovne kybernetickej bezpečnosti.

o   Cieľom projektu je do prostredia Technickej Univerzity v Košiciach zaviesť optimalizáciu procesov riadenia kybernetickej bezpečnosti, riadenie rizík, kontinuity činností a riadenie incidentov pomocou finančných prostriedkov z dopytovej výzvy „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“. Po implementácii projektu bude proces zavedený a ďalej vykonávaný aj internými zamestnancami, predovšetkým manažérom kybernetickej bezpečnosti, manažérom informačnej bezpečnosti a ďalšími bezpečnostnými zamestnancami. Hlavným výsledkom realizácie projektu bude realizácia a optimalizácia procesov riadenia kybernetickej bezpečnosti, riadenia rizík, kontinuity činností a riadenia incidentov.

Miesto priamej implementácie projektu je Technická Univerzita v Košiciach.

Cieľom projektu je realizovať nasledovné aktivity:

• Systémy pre centrálny log manažment (LMS),
• SIEM riešenia s prepojením na centrum prevádzkovej bezpečnosti,
• Multi-faktorové overovanie prístupov (MFA/2FA),
• zvýšenie úrovne Informačnej a Kybernetickej Bezpečnosti prostredníctvom zlepšenia úrovne measurement governance IB a KyB,
• zvýšenie úrovne IB a KyB prostredníctvom zvýšenia ochrany perimetra v oblasti webových služieb (proxy) a emailových služieb.

Výstupy do praxe

• TUKE bude mať k dispozícii zavedenú službu multi-faktorovej autentifikácie pre všetkých zamestnancov, službu Log management systém v spojení so službou SIEM na ochranu perimetra v oblasti webových služieb (proxy) a emailových služieb a v neposlednom rade chýbajúcu dokumentáciu, procesy, politiky a analýzy pre zabezpečenie kybernetickej a informačnej bezpečnosti TUKE v súlade s platnou legislatívou vo vzťahu k poskytovaniu základnej služby a vo vzťahu k zabezpečeniu základnej kybernetickej a informačnej bezpečnosti.
• Zabezpečenie prevádzky a udržateľnosti výstupov projektu bude zabezpečené prostredníctvom vlastných kapacít a udržateľnosť bude financovaná z vlastných finančných zdrojov.
•  TUKE síce  v súčasnosti disponuje rolou manažér kybernetickej/informačnej bezpečnosti, ale zároveň plánuje mať dostatočné odborné kapacity s náležitou odbornou spôsobilosťou a know-how na riadenie a implementáciu projektu v danej oblasti. Popis zabezpečenia prevádzky riešenia je reálny, t.j. žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) mať personálne kapacity pre zabezpečenie udržateľnosti/prevádzky výstupov projektu.
•  TUKE ako prevádzkovateľ bude kontinuálne pracovať s nástrojmi, ktoré budú implementované a to formou:
  • Upgrade na nove verzie,
  • Analýzy a implementácie nových funkcionalít,
  • Denného monitoringu a nastavovania nástroja na dennej báze,
  • Integrovania implementovaných systémov na ďalšie systémy v prostredí TUKE.

Dávame do pozornosti…… (špecifiká/unikáty a zaujímavosti projektu)

Projekt je v súlade s legislatívou SR a EÚ najmä:

• Zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti,

• Zákonom č. 343/2015 o verejnom obstarávaní,

• Zákonom č. 431/2002 Z. z. o účtovníctve,

• Zákonom č. 523/2004 Z. z., zákon o rozpočtových pravidlách verejnej správy a o zmene a doplnení niektorých zákonov,

• Vyhláškou Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení,

• Vyhláškou 85/2020 Z. z. o riadení projektov,

• Národnou stratégiou kybernetickej bezpečnosti na roky 2021 až 2025,

• Národnou koncepciou informatizácie verejnej správy Slovenskej republiky,

• Stratégiou financovania Európskych štrukturálnych a investičných fondov na programové obdobie 2014 – 2020.

Odborné aktivity projektu

Pri implementácii projektu sa TUKE bude plne riadiť odporúčaniami súvisiacimi s dopytovou výzvou a požiadavkami na udržateľnosť projektu po jeho skončení.

Verejné obstarávanie na zvýšenie úrovne  KyB, aktualizáciu existujúcej bezpečnostnej dokumentácie podľa zákona č. 69/2018 Z. z. o kybernetickej  bezpečnosti  a  o  zmene  a  doplnení  niektorých  zákonov, vyhlášky  Národného  bezpečnostného  úradu  č.  362/2018  Z.  z. a tým deklarovať plný súlad so schváleným horizontálnym projektom. Dokumentácia bude aktualizovaná na základe novely ZoKB a bude spracovaná podľa metodík a šablón, ktoré budú v budúcnosti zverejnené MIRRI.

Administratívne a odborné (IT junior a IT senior) zabezpečenie realizácie predkladaného projektu bude TUKE realizovať prostredníctvom interných zamestnancov TUKE. Projektový manažér bude zodpovedný za realizáciu celého projektu. Na začiatku implementácie projektu bude vytvorený projektový tím, ktorý bude participovať nielen na samotnej realizácii projektu, ale bude zabezpečovať chod projektu aj počas obdobia jeho udržateľnosti.

Implementácia projektu bude pozostávať z nasledovných aktivít:

Implementácia projektu bude prebiehať a bude pozostávať z nasledovných aktivít :

Nákup technických prostriedkov, programových prostriedkov a služieb

• termín realizácie aktivity – 04/2023-10/2023

Analýza a Dizajn

• termín realizácie aktivity – 05/2023-10/2023

Implementácia a Testovanie

• termín realizácie aktivity – 06/2023-10/2023

Nasadenie

• termín realizácie aktivity – 08/2023-12/2023

Podporné aktivity:

• termín realizácie aktivity – 05/2023-12/2023

Súčasťou aktivít na ktoré TUKE žiada finančné zdroje prostredníctvom tejto Deklarácie súladu a Žiadosti o poskytnutie NFP na informačnú a kybernetickú bezpečnosť je zavedenie služby Log management systém v spojení so službou SIEM, Službu Multi-faktorové overovanie prístupov (MFA/2FA), Definovanú metodiku klasifikácie aktív, kategorizáciu sietí a iné procesy a politiky, dopracovanie chýbajúcej dokumentácie a procesov a zvýšenia ochrany perimetra v oblasti webových služieb (proxy) a emailových služieb, ktoré budú schválené ako nástroje a procesy riadenia kybernetickej a informačnej bezpečnosti a zavedené do praxe ako interné procesy TUKE v jednoznačne definovanom rozsahu pre návrh a implementáciu riešenia.

Projekt je koncipovaný podľa návrhu horizontálneho projektu, pričom predmetom projektu je:

A – Log management systém v spojení so službou SIEM, Službu Multi-faktorové overovanie prístupov (MFA/2FA) , Definovanú metodiku klasifikácie aktív, kategorizáciu sieti a iné procesy a politiky, dopracovanie chýbajúcej dokumentácie a procesov a výšenia ochrany perimetra v oblasti webových služieb (proxy) a emailových služieb.

• Analýza existujúceho stavu. Analýza kľúčových požiadaviek pre implementáciu , analýza zainteresovaných strán, zákonných, regulačných a zmluvných požiadaviek.
• Definovanie metodiky a analýzy dopadu na organizáciu, analýza kritických systémov TUKE a závislostí medzi nimi, analýza pre účely nastavenia stratégie kontinuity podnikania.
• Analýza rizík  analýza externých dodávateľov v spojení s business kontinuitou.
• Následne návrh riešenia.
• Implementácia a testovanie ochranných opatrení.
• Nasadenie ochranných opatrení.

Realizáciou aktivít budú dosiahnuté nasledovné hodnoty merateľných ukazovateľov projektu:

• P0193 Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov – 1

• P0167 Počet informačných systémov VS zapojených do centrálneho systému monitorovania bezpečnosti v rámci VS – 2

Merateľné ukazovatele sa dosiahnu tým, že sa implementuje do prostredia TUKE riešenie LMS, SIEM, MFA a nástroj na zvýšenia ochrany perimetra v oblasti webových služieb (proxy) a emailových služieb. V prípade ukazovateľa P0193 sa jedná riešenie SIEM/SOC, ako hlavného nástroja na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov. V prípade P0167 sa jedná o „modulárny akademický informačný systém“, „emailový a komunikačný informačný systém“. V rámci projektu sa predpokladá napojenie aj ďalších kľúčových systémov nad rámec uvedeného ukazovateľa. TUKE zrealizovala pre aktivity popísané v bode A  prieskum trhu. Podrobné požiadavky vyplývajúce z existujúcich rizík, zo záverov auditných zistení a platnej legislatívy sú popísané v katalógu požiadaviek v prílohe TCO následne z ktorých pomocou metodiky UCP boli vypočítané náklady projektu. Projekt bude realizovaný „dodávateľsky“ na základe verejného obstarávania.

TUKE v súčasnosti disponuje rolou manažér kybernetickej/informačnej bezpečnosti a rolou Projektový manažér. Zároveň majú dostatočné odborné kapacity s náležitou odbornou spôsobilosťou a know-how vrátane na riadenie a implementáciu projektu v danej oblasti (popísané v bode  7.4 ŽoNFP, životopisy prílohou ŽoNFP). Popis zabezpečenia prevádzky riešenia je reálny, t.j. žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) mať personálne kapacity pre zabezpečenie prevádzky riešenia.

Pozície v rámci odborného interného riadenia projektu budú vytvorené v súlade s Vyhláškou UPVII č. 85/2020 o riadení projektov a s výsledkami prieskumu trhu, ktorého hodnoty vchádzajú do projektového rozpočtu, požiadavkou dodávateľa na súčinnosť a našim rozhodnutím tak, aby TUKE realizovala projekt podľa pokynov daných výzvou a príslušnými metodickými pokynmi a príručkami pre riadenie projektov (pre žiadateľa, prijímateľa atď.).

Hlavný cieľ projektu bude prostredníctvom realizácie aktivít dosiahnutý.

Zoznam produktov (výstupov) sú podrobnejšie popísané  v prílohe č. 11 výzvy Deklarácia súladu TUKE,  bod c spôsob realizácie aktivít projektu, str. 10 – 12 pod názvom Tabuľka č.4 Výstupy projektu Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti TUKE.

Spôsob realizácie aktivít projektu je podrobnejšie popísaný v prílohe č. 11 výzvy s názvom Deklarácia súladu TUKE,  bod c spôsob realizácie aktivít projektu.

V prílohe č. 9 výzvy s názvom Priloha_9_vyzvy_Minimalne_obsahove_nalezitosti_deklaracie – TUKE IS časť Dopad kybernetického bezpečnostného incidentu v závislosti sú uvedené dopady kyb. incidentov.

V prílohe Zoznam rizík a závislostí TUKE sú podrobne popísané možné riziká pri realizácii projektu a zároveň žiadateľ k riziku navrhol aj opatrenie na ich elimináciu.

Výdavky v rozpočte sú hospodárne, nakoľko výber dodávateľa na dodanie jednotlivých položiek v rámci hlavných aktivít bude realizovaný v súlade so Zákonom o verejnom obstarávaní č. 343/2015 Z.z. Výdavky zodpovedajú obvyklým cenám v danom čase a mieste a spĺňajú cieľ minimalizácie nákladov pri dodržaní požadovanej kvality výstupov (žiadateľ predkladá prieskum trhu ako prílohu ŽoNFP). 

Výdavky sú efektívne a účelové, nakoľko ich vynaložením dochádza k naplneniu hlavného ako aj špecifického cieľa projektu. Sú nevyhnutné na realizáciu projektu.

Plánované výdavky nebudú vynakladané duplicitne, spĺňajú podmienky týkajúce sa zákazu duplicitného financovania.

Výdavky sú vecne (obsahovo) oprávnené na financovanie v súlade s Príručkou oprávnenosti výdavkov Prioritnej osi 7 IS OPII.

Súlad s operačnými programami a stratégiami:

Realizácia aktivít projektu je v súlade s:

1. Operačný program Integrovaná infraštruktúra 2014 – 2020

Prioritná os č. 7: Informačná spoločnosť

Investičná priorita: 2c) Posilnenie aplikácií IKT v rámci elektronickej štátnej správy, elektronického vzdelávania, elektronickej inklúzie, elektronickej kultúry a elektronického zdravotníctva

Špecifický cieľ 7.9: Zvýšenie kybernetickej bezpečnosti v spoločnosti

Súlad projektu s príslušným špecifickým cieľom OPII:

Prostredníctvom realizácie aktivít projektu je cieľom zvýšenie KyB s cieľom zabránenia úniku informácií a ich neoprávnenému použitiu, narušeniu identity údajov, porušeniu ochrany práv občanov na ochranu osobných údajov v rámci TUKE a na ochranu pred poškodzovaním a zneužívaním informačných a komunikačných systémov, ktoré TUKE prevádzkuje. Cieľom je aj zvýšenie dôvery v digitálny priestor a povedomie o spôsobe riešenia kybernetických útokov.

Súlad cieľov projektu s očakávanými výsledkami špecifického cieľa OPII

Realizáciou aktivít projektu chce TUKE dosiahnuť výsledky, najmä:

 • zvýšenie KyB v európskom meradle,

 • zvýšenie dôvery občanov v digitálny priestor

 • zvýšenie transparentnosti pri riešení bezpečnostných incidentov a kybernetických útokov.

Súlad aktivít projektu s definovaným oprávnenými aktivitami OPII:

Investičná priorita: 2c)   –  Aktivity projektu sú v súlade s aktivitami definovanými v OPII pre špecifický cieľ 7.9, ktorými sú:

 • vytvorenie nástrojov na rozpoznanie, monitorovanie a riadenie bezpečnostných incidentov,

 • zavádzanie európskej stratégie pre kybernetickú bezpečnosť,

 • zabezpečenie kritickej infraštruktúry

Odborní garanti a administratíva v projekte

V rámci hlavných aktivít projektu bude mať žiadateľ nasledovné interné odborné kapacity:

Odborník IT junior s kvalifikačnými predpokladmi: Ing. M. Dupkalová, Ing. P. Mann

– vysokoškolské vzdelanie 2. stupňa, prednostne oblasť IT/matematického/ekonomického/právnického zamerania,

– vítaná prax v oblasti implementácie fondov EÚ, znalosť právnych predpisov SR a EÚ v oblasti fondov EÚ, predpisov v oblasti verejného obstarávania.

Odborník IT senior s kvalifikačnými predpokladmi: Ing. R. Čečetka

– vysokoškolské vzdelanie 2. stupňa, prednostne oblasť IT/matematického/ekonomického/právnického zamerania,

– prax v odbore minimálne 3 roky, vítaná prax v oblasti implementácie fondov EÚ, znalosť právnych predpisov SR a EÚ v oblasti fondov EÚ, predpisov v oblasti verejného obstarávania.

V rámci podporných aktivít projektu bude mať  žiadateľ nasledovnú kapacitu (pre riadenie a prevádzku projektu):

Projektový manažér – doc. Ing. M. Chovanec , PhD.

s kvalifikačnými predpokladmi:

– vysokoškolské vzdelanie 2. stupňa,

– minimálne 3 ročná prax v oblasti prípravy, riadenia alebo implementácie projektov spolufinancovaných z fondov EÚ.

–  Projektový manažér:

Popis činnosti:

• dohľad nad napĺňaním časového a finančného plánu realizácie projektu;

• priebežný interný monitoring implementácie jednotlivých úloh a naplánovaných aktivít projektu;

• priebežné riadenie projektového tímu;

• priebežné riadenie rizík;

• spracovanie priebežných monitorovacích správ v súlade so Zmluvou o poskytnutí NFP a pokynmi RO;

• spracovanie záverečnej monitorovacej správy projektu a záverečnej ŽoP;

• komunikácia s riadiacim orgánom;

• spolupráca s ostatnými členmi tímu

• spolupráca s ostatými členmi tímu

Finančný manažér – Ing. M. Tomaško

– vysokoškolské vzdelanie 2. stupňa,

– minimálne 3 ročná prax v oblasti prípravy, riadenia alebo implementácie projektov spolufinancovaných z fondov EÚ.

Popis činnosti:

• vypracovávanie Žiadostí o platbu na základe Zmluvy o poskytnutí NFP;

• vedenie analytiky projektu, účtovníctva a ekonomických dokumentov projektu;

• záverečné vyúčtovanie všetkých oprávnených nákladov projektu;

• zabezpečenie plnenia interných finančných predpisov; vedenie účtovnej agendy, evidencia a účtovanie, inventarizácie, archivácia účtovných dokladov;

• komunikácia s riadiacim orgánom;

• priebežné finančné riadenie projektu;

• sledovanie finančných prostriedkov podľa zmluvy;

Asistent pre PM a pre VO – PhDr. B. Bonk

                        – vysokoškolské vzdelanie 2. stupňa,

                        – minimálne 3 ročná prax v oblasti prípravy, riadenia alebo implementácie projektov spolufinancovaných z fondov EÚ.

                         Popis činnosti:

                        • zabezpečenie publicity projektu, aktivít komunikácie a informovanosti;

                        • príprava podkladov pre PM;

                        • príprava podkladov pre vypracovanie žiadosti o platbu;

                        • príprava podkladov pre spracovanie ŽoP;

                        • zodpovednosť za správnosť podkladov pre verejné obstarávanie na tovary/práce/služby pre účely projektu v zmysle legislatívy EÚ a SR;

                        • príprava súťažných podkladov;

                        • spolupráca s ostatnými členmi tímu pre VO

Udržateľnosť prevádzky projektu zabezpečí TUKE vlastnými kapacitami a z vlastného rozpočtu, ktorý je v šúčasnosti schválený v dostatočnej výške v zmysle TCO.

Iné relevantné info/kontakty/web

doc. Ing. Martin Chovanec, PhD.

martin.chovanec@tuke.sk

Ing. Michal Tomaško

michal.tomasko@tuke.sk

PhDr. Branislav Bonk     

branislav.bonk@tuke.sk

webové sídlo:

www.tuke.sk